Im Mai 2019 veröffentlichte das US Office of Foreign Assets Control („OFAC“) Leitlinien für ein CMS mit Fokus auf das Außenwirtschaftsrecht. Ganz ähnlich zu den Vorgaben des DOJ, fordert das OFAC folgende Elemente eine CMS: (1) Verpflichtung der Unternehmensleitung, (2) Risikoanalysen, (3) interne Kontrollen, (4) Prüfungen und Auditierungen sowie (5) Schulungen.[25]
d) Internationale Standards im Bereich Datenschutz
70
Die Relevanz von Datenschutz im Verhältnis zu anderen Rechtsgebieten nimmt aktuell erheblich an Bedeutung zu. Das liegt vor allem auch daran, dass durch die DSGVO und das darin enthaltene Haftungssystem empfindliche Strafen bei Verstößen drohen. Die ersten Folgen waren bereits im Jahr 2019 zu spüren, als zwei Geldbußen in Höhe von 10 Mio. EUR und 14 Mio. EUR für Verstöße im Bereich des mittleren bis unteren Ende des Schwerespektrums verhängt wurden.[26] Ein Nebenaspekt ist das Thema Cyber Security. Schützt ein Unternehmen die Daten seiner Kunden oder Mitarbeiter nicht in ausreichendem Maß, drohen auch hierfür Geldbußen nach der DSGVO.
71
Auch wenn die DSGVO selbst keine ausreichend spezifischen Anforderungen an ein effektives Compliance Management System formuliert, können die Grundsätze der DSGVO mithilfe bestehender IT-spezifischer ISO Normen (insbesondere ISO 27001 und ISO 27005) durchaus konkretisiert werden.[27]
72
Neben den klassischen Maßnahmen, wie beispielsweise der Durchführung von Schulungen und Audits, der Einrichtung von Anlaufstellen und der Implementierung unternehmensinterner Richtlinien, kommt dem Datenschutzbeauftragten als „Compliance-Organisation“ eine zentrale Funktion zu.[28]
Anmerkungen
Die ISO 19600 Compliance Management Systeme-Leitlinien wurde im Dezember 2014 veröffentlicht. Darin wird beschrieben, wie in einem Unternehmen ein CMS eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Aufgrund des Umstandes, dass die ISO 19600 nur als empfehlende Norm konzipiert war (Level-B-Norm), konnte sie zunächst nicht unmittelbar zertifiziert werden. Vor diesem Hintergrund wurde durch die ISO ein Prozess eingeleitet, um die ISO 19600 zu einer zertifizierbaren Norm (Level-A-Norm) weiterzuentwickeln. Dies wird voraussichtlich Anfang 2021 durch die Veröffentlichung der ISO 37301 erfolgen. Die neue ISO 37301 unterscheidet sich inhaltlich nur geringfügig von der bisherigen ISO 19600. Definiert werden die Anforderungen an den Aufbau, die Umsetzung und die Prozesse für Konzept, Umsetzung und Wirksamkeitskontrolle eines CMS. Zukünftig haben daher Unternehmen die Möglichkeit, durch eine Zertifizierung nach der ISO 37301 die Umsetzung eines wirksamen CMS nachweisen zu können.
Vgl. hierzu auch Soyer/Ruhmannseder Handbuch Unternehmensstrafrecht, Rn. 13.14 ff.
US DOJ, Evaluation of Corporate Compliance Programs, Updated June 2020. Auf: www.justice.gov/criminal-fraud/page/file/937501/download (zuletzt besucht: 11.3.2021).
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020. Auf www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
Siegler CCZ 2014, 186, 187.
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020, Chapter 5, S. 66. Auf: www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
Vgl. Scheint NJW-Spezial, in: 2011, 440.
Ministry of Justice, The Bribery Act 2010 Guidance, März 2011. Auf: www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf (zuletzt besucht: 11.3.2021).
The Bribery Act 2010 Guidance, S. 22-23.
Vgl. Art. 17 des Sapin 2.
Schumacher/Saby CCZ 2017, 68 f.
ISO 37001:2016 (E), 8.9 Raising concerns, S. 17 f.
Vgl. Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 20.
Dieners Handbuch Compliance im Gesundheitswesen, J. EFPIA-Kodices, Rn. 54.
IFPMA, Code of Practice (2019). Auf: www.ifpma.org/wp-content/uploads/2018/09/IFPMA_Code_of_Practice_2019.pdf (zuletzt besucht: 11.3.2021).
AKG e.V., Verhaltenskodex der Mitglieder des „Arzneimittel und Kooperations im Gesundheitswesen e.V.“, April 2015. Auf: www.ak-gesundheitswesen.de/wp-content/uploads/akg-verhaltenskodex-22-04-2015-blanco.pdf (zuletzt besucht: 11.3.2021).
MedTech Europe, Code of ethical Business Practice, Dezember 2015. Auf: www.medtecheurope.org/wp-content/uploads/2017/06/2020_mte_medtech-europe-code-of-ethical-business-practice-qa-dg.pdf (zuletzt besucht: 11.03.2021).
Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 7.
Ramb CCZ 2015, 262, 264.